“《关于加强智能网联汽车生产公司及产品准入管理的意见》解读”

为了弥补智能网相关政策供给不足，保持产业健康快速发展，2021年上半年，相关部委对ICV提出了一系列政策和管理要求，多项政策均以安全监管为指。 这次《管理意见》的发表，再次强调了主管部门对产业安全的重视。 《管理意见》发表后，为了通过一系列措施切实落实，公司必须引起足够的重视。

一、政策出台的背景和目的:智能网络产品渗透率提高，通过加强准入管理，加强产品安全管理

目前，中国的二级自动驾驶车辆逐渐得到顾客的认同，销量和渗透率持续提高。 ICV产品提高了顾客满意度，还带来了一系列的安全问题。

自动驾驶配置和技术缺陷引起的交通安全，给人民的财产和生命安全带来很大的风险

个人数据和新闻的安全流失

ICV产品收集的大量国内数据和敏感新闻涉及国家安全

由于互联网安全技术的缺陷，威胁着客户的生命和财产安全

ICV的各项安全问题如果不能得到比较有效的抑制，就会引起国民对ICV的信任危机，当新事物的信用破裂时，就谈不上未来的迅速发展。 加强准入管理，维护安全基础，对ICV产业优质快速发展至关重要。

在此背景下，根据国家三大安全法:《中华人民共和国道路交通安全法》、《中华人民共和国网络安全法》和《中华人民共和国数据安全法》，工信部8月12日发布了《工业和新闻部关于加强ICV生产公司和产品准入管理的意见》工信部通装〔2021〕103号〔

二、加强数据安全管理能力

《管理意见》确定，公司必须建立汽车数据安全管理制度，依法履行数据安全保护义务，确定责任部门和负责人。 建立数据资产管理登记簿，实施数据分类分级管理，加强个人新闻和重要数据保护。 建设数据安全保护技术措施，确保数据持续处于比较有效的保护和合法利用的状态，依法执行数据安全风险判断、数据安全事件报告等要求。 在中华人民共和国境内运营中收集和生成的个人新闻和重要数据应当按照有关法律法规的规定保存在境内。 需要向国外提供数据的，必须通过数据出境的安全判断。

早在5月12日，为了加强个人新闻和重要数据保护，规范汽车数据解决工作，维护国家安全和公共利益，国家互联网新闻办公室发布了《汽车数据安全管理若干规定(征求意见稿)》，并对汽车数据安全管理提出了具体要求，

三、互联网的安全保障能力

公司应当建立汽车互联网安全管理制度，依法执行互联网安全等级保护制度和电信卡实名登记管理要求，确定互联网安全责任部门和负责人。 具备保障汽车电子电气系统、组件和功能免受互联网威胁的技术措施，具备汽车互联网安全风险监测、互联网安全缺陷和脆弱性等发现和处置技术条件，确保车辆及其功能处于受保护状态。 依法执行互联网安全报告和处置要求。

ICV公司生产互联网安全保障要求

序列号

类别

要求复印

1

健全全网络安全责任制度

明确互联网安全负责人

2

互联网安全技术对策

在车辆安全生命周期内，公司必须同步规划、同步建设，同步运行网络安全技术措施

3

网络安全制度

定期进行互联网安全风险的识别、分解、判断，管理生产过程中的互联网安全风险

4

互联网安全监控报警机制

采取监测和记录互联网运行状态、互联网安全问题的技术措施，按规定保留相关互联网日志6个月以上；

5

互联网安全应急响应机制

制定互联网安全应急预案，及时处理安全威胁、互联网攻击、互联网入侵等安全风险；

6

产品安全漏洞管理机制

及时修补和合理修复安全缺陷，指导和协助车辆客户采取预防措施

7

完善的数据安全管理制度

对数据实施6种分级管理，制定重要数据目录，加强数据权限管理和安全鉴定； 采取比较有效的技术措施，加强数据收集、传输、保存、采用等安全保护，及时处理数据泄露、滥用等安全事项

8

电信卡实名登记制度

如实注册购车相关客户信息新闻，与基础电信公司合作落实电话卡实名注册的相关要求

9

供应链安全机制

确定供应商产品和服务的网络安全评价标准、验证规范等，明确与供应商的安全协议，共同管理供应链的网络安全风险

10

互联网安全鉴定规范

审核互联网安全管理和技术措施的运营、互联网安全风险管理和人员安全能力等

11

产品售后网络安全管理机制

包括售后服务、维护、处置阶段的互联网安全保障措施

12

及时更新完善的机制

在发生重要流程变更、大规模互联网安全问题后，及时更新互联网安全管理规范、安全机制等

13

提供技术支持和支持

为依法维护国家安全、开展领域监管等提供技术支持与合作

注:复印件摘自《ICV生产公司及产品准入管理指南(试行)》

并且，我国也加强了网络安全标准建设，6月21日，工信部发布了《远程信息技术( ICV )网络安全标准体系建设指南》，公开征求意见。 意见提出了整体和基础共性、终端和设施安全性、网络通信安全性、数据安全性、应用服务安全性、安全保障和支持6种标准。 6月22日，工信部发布《远程信息技术( ICV )互联网安全工作通知》，公开征求意见。 副本包括四个要求，如加强远程信息处理的互联网安全。 相关电信运营公司、ICV生产公司等自行实际判断并提出意见和建议，促进电信产业规范的健康快速发展。

四、规范ota升级管理

汽车公司具备在线升级安全影响判断、测试验证、保障实施过程、新闻记录等能力，确保车辆在线升级时处于安全状态，为车辆客户提供在线升级的目的、复印、所需时间、所需时间 《管理意见》特别指出，未经批准，不得通过在线等软件升级的方法增加或更新汽车的自动驾驶功能。 为了规范车载ota升级管理，6月4日，国家市场监督管理总局发布了《关于汽车远程升级( ota )技术召回备案的补充通知》。 汽车公司实施ota召回需要提供汽车远程升级)安全技术判断新闻表，加强对软件升级的监管。

汽车远程升级( ota )安全技术判断新闻单

新闻种类

新闻条目数

要点关注新闻

车辆基本新闻

10

网络终端、ota主模块、远程升级系统

这次升级的基本新闻

21

ota类型、相关车辆总数、升级目的、失败解决机制、是否需要客户确认

升级队列

15

进阶包括功能安全测试/新闻安全测试/台架安全测试/整车测试、有无防篡改功能、是否加密

云平台新闻

6

是否记录车侧操作日志、是否记录升级过程日志、与车侧的数据通信方法

安全新闻

9

车端ota主模块使用的安全策略、云平台使用的安全策略、传输管道使用的安全策略

其他新闻

4

生产者升级的流程图和相关证明、安全验证和测试报告、ota升级通知书类、升级包详细新闻

五、自动驾驶产品管理要求

与自动驾驶汽车产品进行比较，提出了4种管理要求。

类别

具体要求

新闻系

履行告知义务

具有驾驶辅助和自动驾驶功能的汽车产品，应当确定并告知车辆功能和性能限制、驾驶员职责、人机交互设备指示新闻、功能激活和退出方法和条件等新闻

驾驶辅助功能安全

结合驾驶辅助功能的产品安全管理

公司生产结合驾驶辅助功能的汽车产品，应当采取偷工减料检测等技术措施，保障司机始终执行相应的动态驾驶任务

自动运转功能

自动驾驶功能产品的安全管理

自动识别自动驾驶系统的故障和是否持续满足设计运行条件，并采取风险缓解措施以达到最小风险状态

应具备人机对话功能，显示自动驾驶系统的运行状态。 在特定条件下驾驶员需要执行动态驾驶任务时，应当具备识别驾驶员执行动态驾驶任务能力的功能。 车辆应依法合理采用灯光信号、声音等方法，与其他道路聘用人员交流

应具有事件数据记录系统和自动驾驶数据记录系统，满足相关功能、性能和安全性要求，用于事故重建、责任判定及原因分解等

应满足功能安全、预期功能安全、互联网安全等流程保障要求、模拟、封闭场所、实际道路、互联网安全、软件升级、数据记录等测试要求

时空定位

确保可靠的时间空新闻服务

公司应确保汽车产品具有安全、可靠的卫星定位和定时功能，能比较有效地提供位置、速度、时间等新闻，满足相关要求，鼓励北斗卫星导航系统协助信号接收

六、影响和建议

为了弥补智能网相关政策的供给不足，保持产业的健康和快速发展，2021年上半年，相关部委对ICV提出了一系列政策和管理要求，很多政策都指向了安全监管。 这次《管理意见》的发表，再次强调了主管部门对产业安全的重视。 《管理意见》发表后，为了通过一系列措施切实落实，公司必须引起足够的重视。

汽车公司加强自主检测，发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的，依法立即停止生产、销售同一产品，采取措施加以改进，及时 不要抱有侥幸心理。 否则，可能会产生更严重的影响。 《管理意见》指出，汽车公司承担着ICV安全的主体责任，条款执行后，汽车公司的合规价格将上升。 第一是成立专门的团队从事ICV的安全管理和执行工作，产品的研发、生产、测试和运行阶段满足《管理意见》的具体要求。